SpectralBlur バックドア

サイバーセキュリティの専門家は、SpectralBlur という名前の新しい Apple macOS バックドアを発見しました。このバックドアは、北朝鮮の攻撃者に関連すると認識されているマルウェアの系統との類似性を示しています。

SpectralBlur は、ファイルのアップロードとダウンロード、シェル コマンドの実行、構成の変更、ファイルの消去、および休止状態またはスリープ モードへの移行を行う機能を備えた、かなり熟練したバックドアです。このマルウェアの特徴は、分析を妨害し、検出を逃れようとする点にあります。これは、grantpt 関数を使用して擬似端末を確立し、コマンド アンド コントロール (C2) サーバーから受信したシェル コマンドを実行することでこれを実現します。

SpectralBlur と他の macOS マルウェアの類似点

SpectralBlur マルウェアは、侵害されたホストを制御するように設計されたリモート アクセス トロイの木馬として機能する高度なインプラントであるKANDYKORN (SockRacket としても認識される) に類似しています。特に、KANDYKORN の活動は、 Lazarus のサブグループ BlueNoroff (TA444 としても識別される) が実施する別のキャンペーンと交差しています。このキャンペーンには、 RustBucketと呼ばれるバックドアと、 ObjCShellzと呼ばれる後期ペイロードのデプロイが含まれます。

最近の観察では、脅威アクターはこれら 2 つの感染チェーンの要素を組み合わせています。具体的には、RustBucket ドロッパーを使用して KANDYKORN を配信します。この収束により、機能的な類似性を考慮すると、異なる開発者が同様の要件を念頭に置いて KANDYKORN と SpectralBlur を構築した可能性が生じます。

サイバー犯罪者は引き続き macOS デバイスへの注目を集めています

サイバー犯罪グループは、Apple オペレーティング システムの脆弱性を悪用するために攻撃ベクトルを多様化する傾向の高まりを反映して、macOS デバイスをマルウェアで標的にすることにますます重点を置いています。この焦点の変化には、いくつかの要因が寄与しています。

• 市場シェアの拡大: MacBook ラップトップや iMac デスクトップなどの macOS デバイスの人気が高まり続ける中、サイバー犯罪者は拡大するユーザー ベースを魅力的な標的とみなしています。 Apple 製品を採用する個人や企業が増えるにつれ、macOS 固有のマルウェアの潜在的な影響がより重大になります。
• 認識されたセキュリティ: 歴史的に、macOS は Windows などの他のオペレーティング システムよりも安全であると考えられてきました。しかし、この認識は一部の macOS ユーザーに満足感をもたらし、潜在的に彼らをターゲットにしやすくしています。サイバー犯罪者は、Apple デバイスがマルウェアの影響を受けないという誤解を利用し、存在する可能性のあるセキュリティ ギャップを悪用します。
• Advanced Persistent Threats (APT) : 国家攻撃者や高度なハッキング グループは、macOS 環境に侵入するための高度な戦術をますます採用しています。これらの攻撃者は、長期間検出されないようにステルス性、永続性、回避技術に重点を置いて、macOS に特化したカスタム マルウェアを開発することがよくあります。
• クロスプラットフォーム攻撃: 一部のサイバー犯罪者はクロスプラットフォーム戦略を採用し、macOS と Windows システムの両方を標的にするマルウェアを開発しています。このアプローチにより、ターゲット ネットワーク内のさまざまなオペレーティング システムの脆弱性を悪用して、キャンペーンの効果を最大化できます。
• 経済的動機: macOS ユーザーは社会経済的地位が高いことが多いため、サイバー犯罪者は彼らをより儲かるターゲットとみなす可能性があります。金融詐欺、ランサムウェア攻撃、その他の形態のサイバー犯罪は、Apple デバイスを使用している個人または組織に向けられた場合、より大きな利益をもたらす可能性があります。
• Apple エコシステムの弱点の悪用: iCloud やその他のサービスを含む Apple のエコシステムの相互接続された性質により、サイバー犯罪者が弱点を利用する機会が生じます。 1 つのデバイスが侵害されると、リンクされている他のデバイスや機密情報への不正アクセスにつながる可能性があります。
• サードパーティのアプリ ストアとダウンロード: 未チェックのアプリ ストアまたは無許可のソースからアプリケーションをダウンロードするユーザーは、誤ってマルウェアにさらされる可能性があります。サイバー犯罪者は、悪意のあるソフトウェアを正規のアプリケーションとして偽装し、Apple の公式 App Store 以外でソフトウェアを求めるユーザーを悪用することがよくあります。

この増大する脅威に対抗するために、macOS ユーザーは、オペレーティング システムとプログラムを最新の状態に維持すること、信頼できるセキュリティ ソフトウェアを使用すること、不審なダウンロードを回避すること、フィッシング攻撃に対する警戒を続けることなど、セキュリティのベスト プラクティスを優先する必要があります。さらに、Apple は引き続きセキュリティ機能を強化し、サイバーセキュリティ コミュニティと協力して脆弱性に対処し、進化する脅威からユーザーを保護します。